Разработка и исследование математической модели, описывающей динамику угроз компьютерных атак на организацию

В состав Национальной программы «Цифровая экономика Российской Федерации» включен федеральный проект «Информационная безопасность», утвержденный протоколом заседания президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 28 мая 2019 г. № 9. Данный федеральный проект предусматривает решение задачи обеспечения «информационной безопасности на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства». Одним из условий успешного решения данной задачи является повышение качества анализа и прогнозирования угроз компьютерных атак на организацию, характеризующихся вектором атак, координаты которого есть значения вероятностей возникновения соответствующих угроз информационной безопасности (ИБ). Известные современные методики, используемые для оценки угроз ИБ, базируются на нормативных документах, разработанных Федеральной службой по техническому и экспортному контроль Российской Федерации (см., например, «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России» 2008, «Банк данных угроз безопасности информации ФСТЭК России», Приказ № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и др.) и Федеральной службой безопасности Российской Федерации (см., например, «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» 2015, «Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли» 2010 и др.), а также в международных стандартах (см, например, Международный стандарт ISO/IEC 27001:2013, ISO/IEC 31010:2009, NIST SP 800-30 и др.) и российских стандартах (см., например, ГОСТ Р 51897-2011 и др.). Однако, данные методики, отнюдь, не обеспечивают существенного сокращения числа результативных атак на организации. Это подтверждается практическими результатами на киберсоревнованиях (например, PHDays ), аналитическими отчетами российских (см, Паспорт федерального проекта «Информационная безопасность» ) и зарубежных специалистов («Отчет Всемирного экономического форума по глобальным рискам» ). Проведенный нами анализ используемых подходов для оценки вероятностей угроз компьютерных атак показал, что одна из основных причин, обуславливающая их несовершенство, состоит в том, что в них не учитываются следующие ключевые факторы атаки, связанные с нарушителем: мотивы и критерии выбора объекта атаки нарушителем; этапы и методы реализации атаки, в том числе методы получения информации об объекте; принципы принятие решения о проведении/продолжении/прекращении атаки нарушителем;динамика изменения типа, характера и навыков нарушителя;а также факторы, связанные с защищаемой организацией: компоненты, архитектура и настройки защищаемой информационной системы (ИС); компетенции сотрудников предприятия (как рядовых, так и привилегированных).Кроме того, обсуждаемые методики обеспечивают получение оценок угроз безопасности только в конкретный момент времени  «мгновенные» оценки вероятности угроз ИБ и соответствующих рисков для ИС, которые, однако, с неизбежностью изменяются с течением времени, так как, например, нарушитель совершивший успешную компьютерную атаку, будучи необнаруженным, имеет возможность в течение длительного времени собирать информацию о средствах защиты внешнего и внутреннего периметра ИС и готовить следующую результативную атаку. Таким образом, разработка математической модели, описывающей динамику угроз компьютерных атак на организацию, является актуальной. Результатом выполнения проекта будет научно обоснованная математическая модель, описывающая динамику угроз компьютерных атак на организацию с точки зрения нарушителя, и основанная на данной модели методика, обеспечивающая получение на основе статистической информации, как «мгновенных» оценок вероятностей компьютерных атак, так и их прогнозируемых значений. Данная методика позволит повысить уровень автоматизации процессов принятия решений и уменьшить время реакции на инциденты ИБ при использовании в корпоративных и отраслевых центрах Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) – что является одной из задач направления ИБ цифровой экономики РФ.